CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-3584

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Kali Forms dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 2.4.9 poprzez funkcję 'form_process'. Problem wynika z funkcji 'prepare_post_data', która bezpośrednio mapuje klucze dostarczone przez użytkownika do wewnętrznego magazynu zastępczego, co umożliwia atakującym wykonanie kodu na serwerze.

Risk Assessment

Atakujący bez uwierzytelnienia mogą wykorzystać tę podatność do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla integralności i bezpieczeństwa serwera oraz danych użytkowników.

Recommendation

Zaleca się aktualizację wtyczki Kali Forms do najnowszej wersji, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa serwera w celu zminimalizowania ryzyka.

Original NVD description (English source)

The Kali Forms plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 2.4.9 via the 'form_process' function. This is due to the 'prepare_post_data' function mapping user-supplied keys directly into internal placeholder storage, combined with the use of 'call_user_func' on these placeholder values. This makes it possible for unauthenticated attackers to execute code on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS